88 pages

Français

Livre Blanc Sécurité

Phoem - Yfareau

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

88 pages

Français

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

A propos
Informations
Extrait

Description

Livre Blanc Sécurité

« Le Monde du SIM »
(Security Information Management)

Gestion des incidents opérationnels de sécurité

Ce document ne peut être copié ou reproduit sans l’accord écrit de DEVOTEAM S.A
C O N N E C T I N G B U S I N E S S & T E C H N O L O G Y
Livre Blanc Sécurité Page 2 / 88

Avant-propos

Adressé aux principaux acteurs de la sécurité des SI dans l’entreprise et notamment aux RSSI,
ce livre blanc dresse un état de l’art complet et synthétique sur les normes et standards en
matière de détection et de traitement des incidents. Les modèles d’organisation, notamment
CSIRT (Computer Security Incident Response Team), ainsi que les principes et procédures de
réactions sont également décrits au regard de nombreux retours d’expérience.

Les auteurs

David BIZEUL, est consultant en sécurité des systèmes d’informations au sein du Groupe
Devoteam. Titulaire du CISSP, il contribue à promouvoir le développement de la sécurité en
France. Ses compétences et ses diverses missions l’ont amené à se pencher sur des
problématiques de gestion opérationnelle de la sécurité.

Yann FAREAU, diplômé de l'ISEP, est responsable d’activités sécurité au sein du Groupe
Devoteam. Il intervient depuis de nombreuses années auprès de Grand Comptes dans la
définition et le développement des architectures de sécurité.
Depuis 2002, il est en charge de la ...

Sujets

Composant électronique

Reproduction humaine

Accords d'Accra

Événements du Chaudron

Supervision (homonymie)

Équipes de la Coupe des Confédérations 2001

Informations

Publié par	Phoem
Nombre de lectures	151
Langue	Français
Poids de l'ouvrage	2 Mo

Extrait

Ce document ne peut être copié ou reproduit sans laccord écrit de DEVOTEAM S.A



























« Le Monde du SIM » (Security Information Management)

Livre BlancSécurité

érationnelsdesécurité





Gestion des incidentsop 







Livre Blanc Sécurité

Page 2 / 88

Avant-proposAdressé auxSIdesritéésuclasedetruacxauipncripdans lentreprise et notamment aux RSSI, ce livre blanc dresse un complet et synthétique sur les normes et standards enétat de l art matière de détection et de traitement des incidents. Les modèles dorganisation, notamment CSIRT (Computer Security Incident Response Team), ainsi que les principes et procédures de réactions sont également décrits au regard de nombreux retours dexpérience. Les auteurs David BIZEUL, consultant en sécurité des systèmes dinformations au sein du Groupe est Devoteam. Titulaire du CISSP, il contribue à promouvoir le développement de la sécurité en France. Ses compétences et ses diverses missions lont amené à se pencher sur des problématiques de gestion opérationnelle de la sécurité. Yann FAREAU, diplômé de l'ISEP, est responsable dactivités sécurité au sein du Groupe Devoteam. Il intervient depuis de nombreuses années auprès de Grand Comptes dans la définition et le développement des architectures de sécurité. Depuis 2002, il est en charge de la promotion et du développement, en plus de ses missions de conseils, des offres d'audits techniques & test d'intrusion et de management opérationnel de la sécurité. Animateur de conférences sur la SSI (Eurosec 2004 et 2005) sur la supervision de la sécurité, il est aussi sollicité pour clarifier différents thèmes de la SSI dans des journaux comme « 01 Réseau », « Le Monde Informatique », et « Mag-Securs ». Sont remerciés pour avoir participé activement à ce Livre Blanc : •Jean- Marc BOURSAT ( Apogée Communications) •Olivier GOURNAY ( Apogée Communications) •Olivier BADET (CEGETEL SI)

Toute reproduction est interdite sans accord écrit de DEVOTEAM S.A





Livre Blanc Sécurité

SOMMAIRE

Page 3 / 88

1INTRODUCTION........................................................................................................................ 51.1................................exnt..teCo..5.....................................................................................1.2................................7................................................................Ojb..........................fstiec1.3 ...............................8Présentation de la gestion des incidents opérationnels de sécurité1.4Quels gains ?................................................................................................................ 122COMPLEXITE TECHNIQUE DE LAGESTION DESINFORMATIONS DESECURITE AU SEIN DUSI ......142.1Multiplicité des composants participant à la chaîne de sécurité ...................................142.2 ............................................................................16Volumétrie des informations à traiter2.3 17Formats de logs variés .................................................................................................3ARCHITECTURE FONCTIONNELLE ET TECHNIQUE DES OUTILS DEGESTION DESINFORMATIONS DESECURITE................................................................................................02................................3.1Architecture fonctionnelle des outils de Gestion des Informations de Sécurité ............203.2 CIDF ........................................................................21 techniqueModèle darchitecture3.3 absorber une forte volumétrie ..................................23 pourEvolution du modèle CIDF3.4Exemple dune architecture technique GIS opérationnelle...........................................284LE TRAITEMENT DE LINFORMATION DE SECURITE...................................................................9.24.1Collecte des événements ............................................................................................. 304.2De la Normalisation à la Priorisation ............................................................................314.3éductiondalertR..............................e...................................................................35........4.4................37................................................................................................itno....Croéral5REPRESENTATION DES EVENEMENTS DE SECURITE8..........................4.......................................5.1Respect des principes de sécurité................................................................................485.2Normalisation du format déchange ..............................................................................495.3......................49................................................................................................LSIC........5.4IDM..........FE................................................15................................................................5.5..................................5.4................................................................IEFOD........................5.6................DIPX.............................................56................................................................5.7 58Types déchanges ........................................................................................................6PRESENTATION DES INFORMATIONS/ INTERFACE UTILISATEUR............................26....................6.1 62Formatage des données...............................................................................................6.2Présentation définie par rôle......................................................................................... 656.3Modèles de représentation ........................................................................................... 676.4au workflow du traitement des incidents.....................................................68Intégration 7INTEGRATION DANS LENTREPRISE......................................................................................... 697.1Accompagnement projet............................................................................................... 697.2Formation ..................................................................................................................... 707.3 ..................................................................................70Présentation des différents rôles7.4Charte dentreprise et données visualisées..................................................................717.5Disponibilité du service de gestion des incidents de sécurité.......................................717.6 72Procédures de réaction ................................................................................................8LE SUIVI DE LINCIDENT/WORKFLOW....................................................................................... 739REPORTING........................................................................................................................... 7710CONCLUSION......................................................................................................................... 8111LEXIQUE................................................................................................8.2...............................12BIBLIOGRAPHIE...................................................................................................................... 8513NOTES ET COMMENTAIRES..................................................................................................... 86

Toute reproduction est interdite sans accord écrit de DEVOTEAM S.A





Livre Blanc Sécurité

Toute reproduction est interdite sans accord écrit de DEVOTEAM S.A

Page 4 / 88





Livre Blanc Sécurité

Introduction

1.1Contexte

Page 5 / 88

Force est de constater que les failles de sécurité « découvertes » augmentent dannée en année. Pour sen convaincre, il suffit den observer lévolution. La figure ci-dessous est issue de la Veille sécurité de Apogée Communications ©, elle recense les avis de sécurité publiés depuis 2000: 

 Nbre d avis de sécurité

1400

1200

1000

800

600

400

200

0 2000

2001

2002

2003

2004

Autres Unix Libres Editeurs Constructeurs Organisme

Apogée Communications - 2005

Une telle augmentation peut trouver deux raisons principales : •Laugmentation des équipements disponibles dans un système dinformation, pour accompagner le développement des Webs services, consommateurs de ressources et déquipements de sécurité, • de failles indépendants »;Lexplosion du marché des « chercheurs ces derniers sont dorénavant payés par des entreprises pour toute faille découverte et non diffusée « hors contrôle ». Des programmes sont en cours pour amplifier cette dynamique1 . Dans un contexte nécessitant une vigilance accrue, le flot dinformations et les moyens de contrôles disponibles pour identifier les comportements illicites ont augmentés. Pourtant, le constat des entreprises est un manque de visibilité sur les incidents de sécurité qui se produisent au sein ou en périphérie du système dinformation. 1 programme de 3Com et TippingPoint pour le recensement de nouvelles failles de Un sécurité a vu le jour : ZDI (hlmnied.xthe.ivm/coniyiattiez.wador:pttww//)

Toute reproduction est interdite sans accord écrit de DEVOTEAM S.A





Fort Investissement dans les solutions de sécurité :

 des fluxConfidentialit é Contrôle de flux Antivirus Authentification

Apogée Communications - 2005

Livre Blanc Sécurité

Complexification du  système d information

Rupture de session Filtrage de flux, Contrôle antiviral Détection dintrusion réseau

Les risques techniques de Sécurité continuent de croître :

vitesse de propagation des menaces au caractère hybride intrusion sur les couches métiers .

Page 6 / 88

Diminution de La visibilité su les attaques de sécurité

Protégé » mais « « aveugle face aux attaques techniques»

Par ailleurs, suite à différents scandales et crises financières, la « transparence », en particulier sur les mesures de sécurité mises en uvre, devient souhaitable, voire nécessaire. Pour maintenir une surveillance des informations de sécurité adaptée aux enjeux dans un environnement en constante évolution, il est nécessaire den améliorer le traitement. Cette amélioration pourrait se résumer au renforcement des équipes de surveillance. Malheureusement, pour maintenir stable le ratio Nombre dévènements à traiter / Nombre de ressources, une augmentation très importante des ressources serait nécessaire et inadaptée dans le contexte actuel, plus orienté vers la rationalisation des investissements informatiques. La seulus d des incidents estion e approche possible est unegeorpssecioatdunristisalniud desécuritéetunrenforcementdeloutillage,enparticulierceluienchargedestraitementsd informations de sécurité. Pourtant lutilisation des solutions de gestion dinformations de sécurité (G.I.S) ou plus communément nommées S.I.M (Security Information management) nest pas encore généralisée dans les entreprises. Peu dentreprises, en particulier françaises ont réalisé des investissements sur les chantiers de gestion des incidents opérationnels de sécurité. 

Toute reproduction est interdite sans accord écrit de DEVOTEAM S.A



Livre Blanc Sécurité

Page 7 / 88

Plusieurs raisons majeures sont évoquées en 2005 par les entreprises ou administrations rencontrées pour limiter ces investissements : •Prix des solutions SIM •Axe dinvestissement orienté vers une autre priorité •Retour sur investissement difficilement quantifiable •Supervision dinfrastructure inexistante •Manque de visibilité sur la mise en conformité réglementaire en sécurité •Etc 



1.2Objectifs

Ce livre blanc fournit des clefs pour aborderefficacement la gestion des incidents opérationnels de sécurité, à : savoir •Les gains d'une gestion des incidents opérationnels de sécurité, •



• • •

Un état de l'art sur les normes et les standards pour la détection et le traitement des incidents de sécurité, Les concepts des outils de gestion des informations de sécurité Des modèles d'organisation (type CSIRT2), Des principes et procédures de réaction pour la gestion des incidents de sécurité 

2CSIRT : Computer Security Incident Response Team

Toute reproduction est interdite sans accord écrit de DEVOTEAM S.A





1.3 Présentation de la sécurité

Livre Blanc Sécurité

estion des incidents o

Page 8 / 88

érationnelsde

La Gestion Opérationnelle de la Sécurité correspond à lensemble des activités qui participent au contrôle ou à la diminution du risque portant sur la sécurité du système dinformation. 

GESTION OPERATIONNELLE DE LA SECURITE (GOS )

Servicesqualtitatifs

SECURITE PAR LA FORMALISATION ET LA SENSIBILISATION

Services proactifs

SECURITE PAR LA PREVENTION

Services reactifs

SECURITE PAR LA RÉACTION

Apogée Communications - 2005 La décomposition présentée ci-dessus est celle communément admise pour présenter les services sécurité pris en charge par un CSIRT (Computer Security Information Response Team). La Gestion des Incidents Opérationnels de Sécurité (GIOS) est une sous partie de la Gestion Opérationnelle de la Sécurité (GOS). Lappellation GIOS intègre lensemble des process, outils, acteurs qui permet de détecter et gérer un incident opérationnel de sécurité. 

Toute reproduction est interdite sans accord écrit de DEVOTEAM S.A



Livre Blanc Sécurité

Page 9 / 88

Le schéma ci-dessous met en relief les opérations propres à la gestion des incidents opérationnels de sécurité au sein de la Gestion opérationnelle de la sécurité. 

Services qualtitatifs

GESTION OPERATIONNELLE DE LA SECURITE (GOS )

FORMATION ET SENSIBILISATION SECURITE

PLAN DE CONTINUITÉ DACTIVITE

ANALYSE DE RISQUE

POLITIQUE OPÉRATIONNELLE DE SECURITE

Services proactifs

OUTILLAGE SECURITE

ADMINISTRATION SECURITE

AUDIT ET TEST DINTRUSION

Veille technologique

Veille norme et méthode

Services reactifs

GESTION DES INCIDENTS OPERATIONNELS DE SECURITE (GIOS)

Traitement et suivi des incidents

Surveillance des événements de sécurité

Caractérisation des alertes

GESTION DES INFORMATIONS DE SECURITE(GIS)

Apogée Communications - 2005 Seul le volet GIOS (gestion des incidents opérationnels de sécurité) sera étudié par la suite dans le cadre du Livre Blanc. Comme évoqué ci-dessus, la GIOS se décompose en six parties distinctes : 

1. Surveillance des évènements de sécurité Il est indispensable quune surveillance des évènements de sécurité soit mise en uvre pour réaliser une GIOS. Cette activité consiste à recueillir et à analyser les informations relatives à la sécurité. Pour se faire, plusieurs pré-réquis sont nécessaires : •Une Organisation de surveillance adaptée aux enjeux, •Une surveillance conforme aux obligations légales et réglementaires, •Une surveillance des « bons » points de contrôle.



2. Administration sécurité La surveillance détecte un problème, alors que ladministration de la sécurité a pour objectif dagir suite à la détection dun incident, et de lanticiper. Par ailleurs, une administration rigoureuse et efficace devrait permettre de limiter limpact de certains incidents. De plus, ladministration sécurité intègre aussi les opérations de configuration de composants ainsi que le maintien de ces derniers en condition opérationnelle. 

Toute reproduction est interdite sans accord écrit de DEVOTEAM S.A



Livre Blanc Sécurité

Page 10 / 88

 3. Audit et tests d intrusion La surveillance est un action réactive à laquelle il convient dassocier des actions réactives dont les audits et tests dintrusion. Lobjectif de ces actions daudits est didentifier la présence des vulnérabilités, avant quelles ne soient exploitées à des fins malveillantes, et définir le plan daction associé. 4. Outillage sécurité

Loutillage sécurité est un ensemble de composant qui a pour objet dautomatiser ou simplifier tout ou partie des actions de sécurité. Loutillage sécurité est de deux natures : •Outillage pour automatiser un traitement technique. oExemple : pare-feu, anti-virus •Outillage pour simplifier les opérations dexploitation

oExemple : Outil de SIM, Outil de gestion centralisée des droits 5. Caractérisation des alertes Il doit être proposé en sappuyant sur le système dinformation les informations qui permettront didentifier et de remonter les alertes de sécurité. La caractérisation dune alerte de sécurité, tant par des méthodes de détection par signatures (« pattern matching ») que par analyse comportementale peut sappuyer sur plusieurs critères : •Identification dun incident de sécurité lié à un attaquant unique •Identification dun incident de sécurité par consolidation dalertes issues de plusieurs sources •Identification dun risque de sécurité dont peut résulter un incident de sécurité. Les outils « nommés » de Gestion des Informations de Sécurité ou SIM (Security Information Management) ont pour vocation de faciliter cette caractérisation de lalerte de sécurité par des techniques de « consolidation », de « corrélation » et denrichissement dévénements de sécurité en provenance de sources diverses sur le système dinformation. Par ailleurs, la veille sécurité est une étape indispensable dans le processus de gestion des informations de sécurité. En effet, il est impossible de surveiller et de détecter « ce qui nest pas connu et/ou envisagé ». Cest la raison pour laquelle, il est important quune évaluation du risque technique de sécurité soit réalisée en phase projet . Cette dernière peut provenir de différentes sources : •surveillance qui enrichissent les méthodes de détection et laDes outils de caractérisation des alertes3de sécurité. •Des équipes au sein de lentreprise qui enrichissent la caractérisation des risques techniques par leurs connaissances du système dinformation veillesDes « » sécurité sur Internet ou fournies par des sociétés disponibles • spécialisées dans ce domaine.